Configurar como o MongoDB Agent gerencia arquivos de configuração e senhas
Nesta página
Novidades na versão 4.2.
Para atender às necessidades avançadas de auditoria ou conformidade, talvez seja necessário realizar uma ou ambas a ação a seguir:
Armazene a configuração do
mongod
oumongos
(coletivamente, o processo MongoDB) na memória para evitar senhas de gravação no disco.Remova as senhas do MongoDB Agent do arquivo de configuração do MongoDB Agent e leia as senhas passadas no comando shell.
Armazenar arquivos de configuração de processo MongoDB na memória
Os arquivos de configuração do MongoDB podem conter credenciais como:
Por padrão, o MongoDB Agent grava arquivos de configuração do processo MongoDB no disco. No entanto, você pode armazenar os arquivos de configuração na memória definindo enableLocalConfigurationServer
como true
no arquivo de configuração do MongoDB Agent. Alterar esta configuração resulta nas seguintes ações:
O MongoDB Agent armazena em cache a configuração do processo do MongoDB na memória.
O arquivo de configuração MongoDB no disco contém somente um
directive
que aponta para o arquivo de configuração completo.
Quando o MongoDB Agent usa uma configuração MongoDB na memória, o processo do MongoDB solicita o arquivo de configuração completo do MongoDB Agent local. O agente solicita o arquivo de configuração usando aURL na diretiva de expansão __rest
.
Aviso
Se você usa o Ops Manager versão 4.2 ou versões 4.4.0 - 4.4.6, você pode encontrar erros ao definir enableLocalConfigurationServer
como true
. Para evitar isso, consulte Armazenar arquivos de configuração na memória para clusters existentes.
Considerações
Impacto a disponibilidade dos MongoDB deployments
Quando esse recurso está habilitado, o MongoDB Agent não armazena a configuração do processo MongoDB no disco. Se o servidor de aplicativos do Ops Manager não estiver disponível e o MongoDB Agent tentar reiniciar, o MongoDB Agent interromperá a execução porque não terá as informações de configuração necessárias. Se um processo MongoDB falhar enquanto o MongoDB Agent não estiver em execução, o MongoDB Agent não poderá reiniciar o processo.
Limita a importação de sistemas MongoDB existentes
Você não pode importar processos do MongoDB que armazenam arquivos de configuração na memória. Quando o MongoDB Agent armazena sua configuração na memória, o MongoDB redige todas as credenciais após o início. Portanto, o MongoDB não pode recuperar as credenciais necessárias para importar o processo.
Formato de chave privada
Se a chave privada criptografada para o .pem
arquivo de certificado estiver em PKCS #8 formato, ele deve usar PBES2 operações de criptografia. O MongoDB Agent não suporta PKCS #8 com outras operações de criptografia.
Remover senhas do arquivo de configuração do MongoDB Agent
Você pode definir o MongoDB Agent para ler suas senhas como sinalizadores de comando shell em vez de ler do seu arquivo de configuração. Para usar esse recurso, adicione as seguintes configurações ao arquivo de configuração do MongoDB Agent: